双尾蝎组织(APT-C-23)伸向巴以两国的毒针

摘要

  • 2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
  • 攻击平台主要包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。
  • 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
  • 相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成doc、xls文档图标,并且文件中还包含一些用以迷惑用户的文档。
  • 攻击者在诱饵文档命名时也颇为讲究,如“الاجهزة الامنية”(安全服务)、“Egyptian Belly Dancer Dina Scandal, Free Porn”(肚皮舞者Dina丑闻,色情),此类文件名容易诱惑用户点击。
  • Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控。
  • 通过相关信息的分析,发现该组织极有可能来自中东。

关键词:双尾蝎、APT-C-23、巴勒斯坦、教育、军事、鱼叉、水坑、伪装

  • 第一章 概述

2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。

2016年5月,我们捕获了第一个Android平台下的相关特种木马,在此后的半年中,我们又先后捕获了与该组织相关的不同形态的特种木马程序样本数十个。并且在2016年7月开始捕获到Windows系统的相关木马程序。该木马主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。入侵成功后攻击者开始窃取目标系统中的各类文档资料并且进行实时监控。

360威胁情报中心将APT-C-23组织命名为双尾蝎,主要是考虑了以下几方面的因素:一是该组织同时攻击了巴勒斯坦和以色列这两个存在一定敌对关系的国家,这种情况在以往并不多见;二是该组织同时在Windows和Android两种平台上发动攻击。虽然以往我们截获的APT组织中也有一些进行多平台攻击的例子,如海莲花,但绝大多数APT组织攻击的重心仍然是 Windows平台。而同时注重两种平台,并且在Android平台上攻击如此活跃的APT组织,在以往并不多见。第三个原因就是蝎子在巴以地区是一种比较有代表性的动物。综上,根据360威胁情报中心对APT组织的命名规则(参见《2016年中国高级持续性威胁研究报告》),我们命名APT-C-23组织为“双尾蝎”。

  • 第二章 受影响情况

本章主要对相关攻击行动所针对目标涉及的地域和行业进行相关统计分析,时间范围选择 2016年5月1日到至今。

一、地域分布

双尾蝎行动主要针对目标为巴勒斯坦,占比高达84.8%,其次是以色列,占8.1%,分布如图1所示。

图1  受影响地域分布

二、领域分布

从行业分布上看,教育机构是双尾蝎行动重点针对目标,其次是军事机构,具体分布如图2所示。

图2  受影响行业分布

  • 第三章 载荷投递

一、攻击方式

  • 水坑攻击

Android端间谍软件主要伪装成Facebook升级模块、聊天软件以及Tawjihi 2016(Tawjihi是约旦和巴勒斯坦的一种类似于高考的考试),通过挂载在具有迷惑性的下载网址上引诱目标下载安装。

攻击者注册了一系列类似于gooogel.org、acount-manager.info、apppure.info这种具有迷惑性的网址,并且上面都挂着许多正常样本用于干扰、迷惑,从而导致用户中招。表1是某恶意程序具体下载链接和链接对应的 RAR 文件 MD5。

恶意下载链接 http://drive.acount-manager.net/F5YVWRDBbnsghWe6lN4DSRedB2FsVUQ/download__________.zip
域名状态 目前已经无效
下载的 RAR 文件 MD5 258E8336628E8F6F4DFFBBFD3967D64E

表1  恶意程序下载链接和链接对应的RAR文件MD5

zip压缩包中exe文件使用.scr后缀,该格式为exe的衍生类型,并且通过修改 exe 图标为文档来诱导用户点击。

进一步分析,还发现了部分恶意程序下载链接。

http://acount-manager.info/F5YVWRDBbnsghWe6lN4DSRedB2FsVU1Q/download__________.zip

http://drive.acount-manager.net/F5YVWRDBbnsghWe6lN4DSRedB2FsVUQ/downloadfile____________.zip

  • 疑似鱼叉邮件

相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些文件都伪装成doc、xls文档图标,并且文件中还包含一些用以迷惑用户的文档,从以往此类事件的分析经验来看,一般这类可执行程序均进行压缩,以压缩包形态发送。压缩包和包内恶意代码文件名一般是针对目标进行精心构造的文件名,相关文件名一般与邮件主题、正文内容和恶意代码释放出的诱饵文档内容相符,因此这次攻击行动极有可能会以鱼叉邮件的方式进行投递。

二、诱饵文件

双尾蝎行动中主要使用两种文件形式。

一种是通过 winrar 的自解压功能将相关样本文件和诱饵文件打包为 exe文件,运行该exe文件,会释放出恶意样本并打开诱饵文件进行伪装。其中exe母体文件主要通过图标进行伪装,涉及的图标包括安装补丁、视频、文档等,并且文件名一般是针对目标进行精心构造的文件名,与释放出的诱饵文档内容相符,通过样本属性中的注释,可以看到内嵌SFX script commands。

另一种是使用scr后缀名的文件,该文件格式是Windows系统中屏幕保护程序,为exe的衍生类型,通过在资源段存放诱饵文档,运行该类型的恶意文件后,会首先打开诱饵文件进行伪装。

  • 文档类

据网上公开消息得知,巴勒斯坦高考是6月份开始,持续20天,而这一时期我们捕获的样本中就有伪装成“Tawjihi 2016”(高考 2016)的Android应用程序,同时期从Windows平台捕获的样本使用的诱饵文档是巴勒斯坦2015年高考成绩,如图3所示。

图3  诱饵文档1

从攻击时间和伪装内容的选取上,可以看出攻击者目标很明确具有很强的针对性。教育一直是各个国家非常重视的领域,特别是巴勒斯坦从2007年内部分裂以后,直到2014年才进行了7年来第一次全国统一高考。对于巴勒斯坦人来说,高考更显得重要,攻击者选取这个领域也是别有用心。

除此之外还有包含军事类新闻信息的伪装文档,例如,图4内容是加沙地区某军事事件的采访新闻,图5是关于加沙地区军事领导人的任命消息:

图4  诱饵文档2

图5  诱饵文档3

  • 软件类

用于攻击的后门程序都是经过伪装的,Android端主要是伪装成Facebook升级程序和其他一些常用软件,Windows端主要伪装成播放器、文档等常用图标。

图6  欺骗性软件图标1

图7  欺骗性软件图标2

  • 视频类

部分后门程序通过将样本文件和播放器文件(.mp4)打包为 exe文件来进行传播。诱饵视频文件如图8所示。

图8  诱饵视频

  • 图片类

图9  诱饵图片

  • 文件名伪装

图10  部分文件名

从上图文件名可以看出,攻击者在诱饵文档命名时也颇为讲究,如“الاجهزة الامنية”(安全服务)、“Egyptian Belly Dancer Dina Scandal, Free Porn”(肚皮舞者Dina丑闻,色情),此类文件名容易诱惑用户点击。

  • 第四章 后门分析

一、    Android

Android平台相关后门程序可以在拨打电话或是收到来电时,开启录音功能:

图11  监听电话

并且通过拦截短信,可以根据短信内容开启录音或是上传录音文件功能:

图12  根据短信内容开启录音功能

除了定位、短信拦截、电话录音等监控功能,后门程序还要负责收集文档、窃取联系人、上传短信内容等情报信息收集,相关类名和功能如下表:

旧版本 新版本 功能
AlarmReceiver AmReceiver 下载更新
CallReceiver CReceiver 监听电话
LogReceiver LReciver 上传/android/sys目录下日志文件
NetworkStateReceiver NetworkReceiver 监控网络状态
PackageReceiver PReceiver 安装新版本替换旧版本
PowerReceiver —— 接收开机广播
SmsReceiver SReceiver 拦截短信
CellService NService 上传电话号码、位置等信息
InfoService IService 上传手机设备信息
ContactsService CService 窃取联系人信息
DocumentsService DCService 打包上传文档文件
ImagesService IMService 打包上传图片文件
MessagesService MService 窃取短信内容
RecordingService

RecordsService

RCNewService

RCOldService

RService

录音并上传录音文件

表2  类名和功能对应关系

图13  窃取文档文件

图14  截获的上传图片文件数据包

移动端后门早期版本使用C&C域名比较单一(upload202.com),从2016年7月份开始捕获的后门程序中开始出现新的C&C地址(mediauploader.info),但是代码和功能上与早期版本基本相似。大约从9月份开始,虽然代码未混淆部分命名规则没变,但是程序下载地址和上传服务器地址发生了改变,代码也做了一些改进。从2017年1月份开始,捕获的样本未混淆部分类名采用之前类名的缩写,并且使用全新的C&C地址,短信指令增加到8个。

图15  Android样本版本演进图

Android端后门程序从早期版本中就有拦截短信获取指令的功能,随着版本的更新,指令个数也越来越多。

指令 功能
151791 上传录音文件
151792 开启录音功能
*..
#.
#,, 停止录音
15171 开启receiver组件
15181 禁用receiver组件
*.g Enable Mobile Data
*,g Disable Mobile Data
15191 卸载自己
15101 删除录音文件

表3  短信命令与对应功能

早期版本样本大都伪装成聊天软件和高考软件,而且奇怪的是,许多样本出现在6月份,但是其释放的后门程序早在5月初就已经出现。在前面“诱饵文档”一节中我们已经分析这批样本极有可能是针对教育行业,虽然攻击时间是在正值巴勒斯坦高考的6月份,但是样本却在5月份甚至可能更早就已经完成编写,这也说明这次攻击早有预谋。

 二、    Windows

PC端后门大致可以分为两个版本,早期版本采用Delphi编写,使用C&C域名主要为(upload101.net 、upload999.net),从2016年10月份开始捕获到新的后门程序,此类程序采用MFC编写,并使用了新的C&C地址(www.mailsinfo.net),但是代码和功能上与早期版本基本相似,都是上传计算机信息到服务器,并远程下载文件执行。

图16  PC样本版本演进图

  •  Delphi版本

主要功能:一是收集用户信息(如电脑名、用户名等),上传到指定服务器,进一步还会从服务器上下载文件(下载的文件暂时还未找到)并运行;二是远控功能(如截屏、结束进程),其隐藏界面如下:

图17  被隐藏的界面

1)    判断系统版本在对应的%appdata%目录下创建WindowsShell子目录,将自身复制到该目录下,并在注册表(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)中添加自启动。

图18  注册开机启动项

2)    从自身资源释放ssleay32.dll、libeay32.dll,以便使用OpenSSL加密数据连接。

图19  释放资源文件

3)  连接http://upload101.net/pc/domains(已失效)被用于获取新链接。

图20  获取新的下载链接

4)  上传信息

上传内容 上传地址
计算机名、用户名 https://upload999.net/win_downloader/windows/new
屏幕截图 https://upload999.net/win_downloader/windows/<计算机名> _<用户名>/screenShot

表4  上传信息

5)  远程控制

远控服务端为https://upload999.net/win_downloader/windows/<计算机名> _<用户名>/ + 命令,通过服务器返回值来判断是否操作。

命令 功能
restart_pc 重启电脑
restart_app 重启自身
delete_app 关闭自身
screenShot 截屏
Kill_process 结束进程

表5  远控命令

6)  设置定时器进行不同的功能

定时器名称 功能
updtAPP 更新自身
DownAPP 下载其他组件并执行
RequesTimer 每两分钟上传并请求一次命令,判断是否进行远控行为。

表6  定时器功能

后期捕获到的Delphi样本在功能上主要是多了一个定时器,也是用于下载文件并执行。

  • VC版本

主要功能: 收集用户信息(如硬盘类型、序列号等),上传到指定服务器,并从服务器上下载文件运行。

1)  获取硬盘类型、序列号等信息

图21  获取硬盘信息

2)    将获取的硬盘类型、序列号信息存在自启动目录(HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run)下的子键hdflag中,并且该信息会被发送至服务端,若发送成功,则在自启动目录下新建senid项,并设置为true,表明已发送硬盘信息。

图22  注册表操作

3)    将获取的硬盘信息提交至www.mailsinfo.net/info/insert.php

图23  网络操作

4)    访问www.mailsinfo.net/info/checkmails.php,获取新的URL,另外通过访问www.mailsinfo.net/info/checkmailp.php获取新URL参数,最后访问组合的地址下载文件(已失效)。

图24  获取info/checkmails.php字符串

5)    下载的文件根据系统版本存放不同的目录,如xp系统,存放在C:\Documents and Settings\All Users\Favorites\VLC目录下,并设置自启动,最后通过ShellExecuteW将其运行。

图25  执行下载文件

通过分析捕捉的PC端样本,猜测这类样本主要用于前期侦查信息所用,主要模块应来自云控下载。

 

  • 第五章 C&C分析

一、    Whois 隐私保护

whois 隐私保护是指域名注册服务商为域名注册者提供的一种服务,即域名whois信息会隐藏域名注册者的真实信息,如电子邮件地址、电话号码等,一般这种服务为收费有偿服务。在APT攻击中,相关组织非常喜欢采用whois隐私保护这种方式来隐藏自己的真实身份,安全研究机构或人员很难找到相关线索信息进行关联回溯。下图为该组织行动中C&C域名的保护情况。从图26中可以看到该组织使用的C&C大部分都有whois保护,占据了60.7%,也说明了该组织对自己的真实身份有较强的保护意识。

图26  C&C域名保护情况

二、    C&C服务器地域分布

图27  C&C服务器地域分布

从图27可以看出该组织攻击行动中所使用的IP地理位置主要集中在美国和立陶宛,这两个地域占比超过了85%。需要注意的是C&C(www.mailsinfo.net)地理位置为巴勒斯坦地区,通过Whois查询该C&C为公司注册,其注册人为Nepras company,与以前样本出现的C&C存在不同,这里猜测该域名当时被攻击者劫持。

三、    C&C、IP及部分样本对应关系

图28  C&C、 IP及部分样本对应关系

通过图28中的C&C、IP及部分样本对应关系,很明确说明了PC端样本(5bbb5604bc0f656545dfcbb09820d61a)与Android平台样本(acc903afe22dcf0eb5f046dcd8db41c1)样本存在强关联,这些样本使用的域名都是upload101.net。

另外,通过对上图中出现的域名(upload202.com、mediauploader.info、upload101.net、upload999.com、upload999.net、upload999.info、upload999.org、akashipro.com、acount-manager.info、acount-manager.net、mary-crawley.com、cecilia-gilbert.com)进行 WHOIS 信息分析,发现相关域名持有者邮箱都是adam.swift.2016@gmail.com,这也明确说明了是同一组织进行的攻击。

  • 第六章 关联分析

本章主要就双尾蝎攻击行动中使用的恶意代码、C&C服务器等层面进行关联分析。

  • 1) 攻击行动中PC与Android平台,共用C&C
针对操作系统 PC
MD5 5bbb5604bc0f656545dfcbb09820d61a
C&C http://upload101.net/pc/domains

https://upload999.net/

表7  PC样本基本信息

29  PC样本代码截图(C&C地址)

针对操作系统 Android
MD5 acc903afe22dcf0eb5f046dcd8db41c1
C&C http://upload101.net/android/domains

https://upload999.info/

表8  Android样本基本信息

30  Android样本代码截图(C&C地址)

从PC、Android样本中使用的C&C,以及都是采用http://upload101.net/平台/domains的形式,可以看出该组织为同一伙人。

  • 2) 攻击行动中PC与Android平台,都使用了“Tawjihi”字符串
平台 Md5 文件名
PC 4299fbfe74f671ee2c36d71bc808437c 2016–Palestine-Tawjehi——-.xsl.scr
Android 44cc31ab34deb9fb1d78b6b337043bc6 Tawjihi 2016.apk

表9  样本中涉及的字符串

从上表可以看出该组织攻击意图一致,都含有对教育部门的攻击。

3)  PDB路径有一定地域特征

样本MD5 pdb路径
78b65852b20fbf2a6b2319a1746b6d80 C:\Users\USA\Documents\Visual Studio 2008\Projects\New folder (2)\kasper\Release\kasper.pdb
775c128456a53dec85305a1e78ed5edf C:\Users\Yousef\Desktop\MergeFiles\Loader v0\Loader\obj\Release\Loader.pdb

表10  PC样本PDB路径

上表是PC平台中PE文件的PDB路径,这个路径就是恶意代码作者本机的文件路径,从相关用户名“USA”、“Yousef”来看,这些用户名更多出现在阿拉伯中东地区。

 

  • 总结

通过对双尾蝎相关TTPs(Tools、Techniques、Procedures)的研究分析,以及结合以往跟进或披露的 APT 组织或攻击行动,总结出以下几点:

1)  移动端APT事件逐渐增多

以往披露的APT事件主要是针对Windows系统进行攻击,现今由于Android系统、APP的普及与发展,带动了Android手机等智能终端用户量的持续攀升,从而导致黑客组织的攻击目标也逐渐转向移动端。我们在捕获样本时率先捕获到Android样本,并且Android样本后期更新速率很快,从而也变向说明该组织主要是基于Android系统进行攻击。

因此,针对移动端的APT攻击不容忽略。

2)  攻击技术由浅入深。

技术分析显示,该组织初期使用的特种木马技术并不复杂,但后期版本中,此类木马开始采用文件伪装、字符串加密、并使用云控技术来逃避杀软的查杀。综合来看,该组织的攻击周期较长攻击目标之明确、 社工手段之精准,并且攻击过程中使用了大量资源,都表明这不是一个人或一般组织能承受的攻击成本。

因此双尾蝎行动背后组织应该不是普通的民间黑客组织,很有可能是具有高度组织化的、专业化的黑客组织。

3)  攻击组织极可能来自中东。

前面分析知道PDB路径有“USA”、“Yousef”等字符串,Android后门程序证书为“Jamal Hassan”、“Yousef Aburabee”等字符串。并且C&C的注册人邮箱为adam.swift.2016@gmail.com,这些名字(“USA”、“Yousef”、“adam”)常常出现在阿拉伯地区。C&C注册人公开信息显示来自于加沙,另外,恶意代码时间戳大部分为北京时间下午到凌晨2点, 对应至中东地区时间也大致在工作时间内。

因此,双尾蝎攻击行动极可能来自中东。

 

附录A:样本MD5

移动端样本MD5 PC端样本MD5
c8062b2ff7d4861d7e2e74795acb6f33 4299fbfe74f671ee2c36d71bc808437c
ec7a372e963b2428887d1d3ab57d7d0a cd38d10f4bc730b40be1f80b3034e31e
deaa780e3cbbdb138f22f1ff51266009 d0d9d6d74f9405cdc924760e3d460d84
44cc31ab34deb9fb1d78b6b337043bc6 5bbb5604bc0f656545dfcbb09820d61a
c945ef969a544b020c681ac25d591867 882cab29144e1cb9e0512b8f1103b2da
c74703264e464ac0153157d8d257cb29 f9155cabbdccc70f5ac86e754986c0a7
568f92bfedc8f48660ac4be1278cc8a0 fcea715854365bc43a624f938d6edfcb
eedbf1f7a0d392d4cea2ad58ed30a72e a111af210dc777621f79edffb6bed6f3
1e369cf9d270464352e1cec6e55b56f7 240105a1510f6e4f5c40a64c98971bac
0414afcf37f60c63c280698c840a612d 41799f40626f26d8337a7724ef3d1938
b85a1e1953c7d751cbc1997b536df73a 662ae23476cc0ef97deaaf97c1ee64b9
b05252fe1795486c9270bfd177239742 775c128456a53dec85305a1e78ed5edf
9e95bd742995e58f27fa4513db92a4c0 78b65852b20fbf2a6b2319a1746b6d80
da22659738065a611a9a491a2332ed6a 978f1d1051e5bd0b691e7007c3a742db
acc903afe22dcf0eb5f046dcd8db41c1 ae67b0b632230a887bef7a112432aa0d
cf89ffc87287673727f57c307a2f329d e3113604b6e0287648d42cc7051bbec5
68f3417ccabef6cf6ce3ab9e299e681e 258e8336628e8f6f4dffbbfd3967d64e
7fae6a64cde709261e488e96da7eb52c 9bf0f6192d7d92191135ec73ec460c9e
ad6ede2e93230802568b59b5bab52bd8 129c5c9ee71b9d46fcb9e789900c2394
d9fba5b780cc029873a70cf22f5c9cac
4572eb0381a86916f8e62514ffac0459
1feadd0f95d84d878c22534f6ef0bedc
5891445552a501176fd0a493c6d5659b
c1e6ef4ccce494546c1810f8894439c0

附录B:C&C列表

C&C列表
upload202.com beauty-dance.net
mediauploader.info margaery.co
upload101.net kagami-adam.com
upload999.com kalisi.info
upload999.net kalisi.xyz
upload999.info kalisi.org
upload999.org gooogel.org
arnani.info google-support-team.com
apppure.info gooogel-drive.com
appppure.info go-mail-accounts.com
akashipro.com mavis-dracula.com
acount-manager.info mydriveweb.com
acount-manager.net useraccountvalidation.com
acount-manager.com mailsinfo.net
acount-manager.org  

 

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注